[NFTGo] 안전하게 NFT 투자하기

[NFTGo] 안전하게 NFT 투자하기

​

지난 몇 년 동안 NFT 생태계는 많은 대중의 관심을 받았다. 그 결과 사용자 수, 거래 수, 시가 총액 및 거래량이 증가했다. 이는 전보다 훨씬 더 많은 블루칩 프로젝트 수요가 생겨나고 있다.

​

이러한 성공과 동시에 NFT 생태계는 스캐머(scammer,기업 이메일 정보를 해킹해 거래처로 둔갑시켜서 무역 거래 대금을 가로채는 범죄 수법인 스캠으로 범죄를 일으키는 사람), 피셔(phisher,계정 비밀 번호나 신용 카드 번호와 같은 개인 정보를 빼내는 허위 웹 사이트. 합법적인 웹 사이트로 가장한 허위 웹 사이트가 허위 이메일이나 온라인 광고를 사용해 개인 정보를 제공하도록 함정을 만드는 사람) 및 해커(hackers,컴퓨터 시스템의 내부 구조와 동작 따위에 심취하여 이를 알고자 노력하는 사람)를 시장으로 끌어들였다.

​

블록체인 보안 및 데이터 분석 회사인 팩크실드(PeckShield Inc.)에서 공개한 문서에 따르면 오픈씨(OpenSea)를 향한 피싱공격 중에 약 254개의 NFT(총 170만 달러)가 도난당한 것으로 나타났다. 유사 보고서에 따르면 디스코드 공격으로 11Bored Ape Yacht Club 및 Mutant Ape Yacht Club 토큰이 166만 달러에 달하는 손실을 입었다. 자산의 안전을 최우선으로 하는 콜렉터와 투자자에게 해당 이슈는 큰 걱정거리가 되고 있다.

​

해커들은 디스코드와 텔레그램을 통해 콜렉터를 목표로 하고 있는 것은 분명하다. 시장 가치를 고려하면 해커들은 지금도 다른 취약한 채널을 찾고 있을 가능성이 매우 높다. NFT 기술에 대한 관심이 높아짐에 따라 생태계의 플레이어(투자자 및 콜렉터)는 자산을 안전하게 유지하기 위해 지속적으로 업데이트하며 최고의 보안을 유지해야 한다.

​

본 글은 지갑을 보호하고, 피싱/해킹으로부터 보호하고, NFT 자산을 보호하는 데 도움이 되는 팁을 제공하고자 한다.

​

NFT는 어디에 저장될까?

​

우선 NFT가 저장되는 방식에 대해 알아보자. NFT는 PC, 콜드 월렛 또는 핫 월렛에 저장되지 않는다. NFT는 이더리움 블록체인에 있는 토큰으로, 전 세계적으로 실행되는 네트워크의 2400개 이상의 노드에서 보유하고 있는 복사본이다. 생태계를 운영하기 위해 작동하는 완전히 분산된 시스템에 의해 NFT가 백업(네트워크를 통한 트랜잭션 검증)된다. 따라서 트랜잭션(구매 또는 판매)을 수행할 때 발생하는 모든 것은 NFT가 소유한 주소의 항목을 변경하는 데이터베이스(ETH 블록체인 - 데이터베이스)뿐이다.

​

●JPG, GIF, 음악은 어디에 저장 될까?

​

NFT에는 JPG가 있는 위치를 가리키는 URI [Uniform Resource Identifier]가 있다. 대부분의 경우 IPFS 또는 Arweave와 같은 분산 스토리지에 있다. Web2에서는 중앙 집중식 스토리지 서비스인 AWS와 같은 정보 스토리지를 볼 수 있다.

​

AWS를 사용하는 IPFS/Arweave의 차이점은 모든 사용자가 IPFS에 컴퓨터를 가입시키고 모든 정보를 보유하는 대신 특정 IPFS 개체(JPG 포함)를 저장하도록 결정할 수 있다는 것이다.

​

지갑

​

지갑은 콜드 월렛/하드웨어 월렛이든 소프트웨어 월렛/핫 월렛이든 상관없이 거래를 할 수 있는 개인 키 세트가 포함된 소프트웨어다.

​

소프트웨어 지갑/핫 월렛: 핫 월렛은 "클릭"만으로 Web3에 연결하거나 자산을 받을 수 있는 범용 장치의 소프트웨어이다.

​

하드웨어 지갑/콜드 지갑: 콜드 지갑은 Web3에 연결하거나 자산을 받을 수 있는 전용 하드웨어 장치의 소프트웨어이다. 콜드 월렛은 시드 문구가 인터넷에 절대 연결되지 않으며 거래를 하려면 물리적으로(물리적 바닥 또는 터치 스크린에서) 승인해야 한다는 것이다. 구입할 수 있는 하드 지갑의 예로는 렛져(Ledger) 또는 트레져(Trezor)가 있다.

​

선호하는 지갑을 다운로드/구매하려면 우선 몇 가지 주요 기능에 대해 알아야 한다.

​

우선 핫월렛/콜드월렛은 비밀번호를 생성해야 한다. 해당 비밀번호는 지갑에 액세스할 때 사용된다. 이는 특정 기기의 지갑 전용 비밀번호다.

​

공개 주소는 공유해도 상관없다. 사용자의 공개 주소는 Web3의 이메일 주소와 같으며, 주소가 있으면 누구나 NFT를 보낼 수 있다.

​

여기서 새로운 공격 벡터에 대해 알아보자. 최근 일부 해커가 사람들에게 NFT를 보내고 있으며 NFT와 상호 작용할 때(다른 지갑으로 보내거나 판매) 해커가 모든 것을 훔치는 것이다. 이 경우 NFT와 상호 작용하지 않는 것이 중요하다. NFT 계약자가 악성 서명 또는 승인을 사용하려고 하는 방식으로, 이러한 서명 또는 승인도 사용자의 IP를 얻는 데 사용될 수 있다.

​

다른 방법은 피싱 이메일을 사용하는 것이다. 이 이메일은 지갑을 가짜 웹사이트에 연결하여 자산을 훔친다. 이 경우 이전에 접촉한 적이 없는 링크를 클릭하지 않고, 항상 웹사이트 이름을 재차 확인하면 막을 수 있다. 해당 방법이 아마 현재 해커가 공개 주소나 이메일을 가지고 있는 것만으로 사용자를 공격할 수 있는 유일한 방법일 것이다.

​

따라서 NFT를 안전하게 하기 위해선 개인 키가 매우 중요하다. 개인 키는 공개 주소에 액세스하기 위한 암호와 같다. 개인 키를 사용하여 수행할 수 있는 작업은 다음과 같다.

​

●NFT를 현 지갑 주소에서 보기.

●해당 주소의 개인 키가 있음을 증명하는 컨트랙트에 서명하기(공개 주소를 소유하고 있음을 확인하는 종류).

 

개인 키는 공개 주소와 달리 누구에게도 보여주거나 보내서는 안 된다. 개인 키를 남에게 알릴 시 자신의 모든 권한을 남에게 공유하는 것이되니 누구나 사용자의 모든 자산을 고갈시킬 수 있다.

​

개인 키와 공개 주소 다음으로 중요한 건 시드 구문(seed phrase)이다. 시드 구문은 12, 18, 24 또는 더 많은 단어의 집합이다. 시드 구문은 지갑을 복구하는 데 쓰인다. 개인 키를 분실한 경우 시드 구문을 통해 다시 생성할 수 있다. 개인 키와 마찬가지로 시드 구문은 누구와도 공유해서는 안 되며 디지털 저장 서비스나 장치(드롭박스, 상자, 드라이브, iCloud, 사진, 휴대폰 메모, 복사) 대신 종이에 저장할 것을 추천한다

​

암호를 추가외 지갑에 보안 계층을 추가하는 방법은 아래와 같이 있다. 시드구문은 일련의 문자 또는 단어로, 이를 시드 구문을 결합하면 지갑에 새 지갑이 생성된다. 예를 들어 다음과 같은 조합으로 지갑에 새 지갑을 만들 수 있다.

​

●시드 구문 + "NFTGo"

●시드 구문 + 임의의 숫자

●시드 구문 + 임의의 문자

●시드 구문 + 모든 구문

​

각 예제는 해당 공개 주소와 다른 개인 키를 사용하여 새 지갑을 만들 수 있다. "잘못된" 암호는 없다. 즉, 어떤 유형의 오류 메시지가 표시되지 않는다. 그러면 잘 작동하는 다른 개인 키 세트만 얻을 수 있지만 그렇지 않을 거다. 그 지갑에 NFT를 보관하면 된다. 암호 기능은 콜드 월렛에서만 사용할 수 있다.

​

이중 보안

​

이중 보안으로 콜드 월렛을 주로 사용한다.

​

가장 인기 있는 두 가지 하드웨어 지갑은 Trezor와 Ledger이다. 둘 다 보안에 탁월하지만 서로 다른 강점과 약점을 가지고 있다.

​

또한 지갑에 연결된 웹 사이트를 항상 다시 확인할 수 있다. 권한을 취소할 수 있는 두 가지 주요 웹사이트는 revoke.cash와 etherscan이다.

​

보안 팁

​

● 항상 공식 웹사이트에서 Web3 앱이나 지갑을 다운로드할 것

​

크립토/NFT 해킹의 주요 원인 중 하나는 사용자가 공식 웹사이트처럼 보이는 비공식 소스를 방문하기 때문이다. 다운로드한 앱이 원본 소스가 아닐 수 있으므로 Google Play에서 Web3 앱을 다운로드하면 안된다. 공식 웹사이트를 확인하는 방법은 다음과 같다:

​

1. 주소 표시줄에 주의하고 http://가 아닌 https:// 웹 사이트와만 상호 작용해야 한다. "s"는 보안을 나타내며 웹 사이트가 암호화를 사용하여 데이터를 전송하고 해커로부터 데이터를 보호함을 의미한다.

2. 도메인 이름을 꼭 확인해야 한다. 해커들이 가장 흔히 쓰는 속임수 중 하나가 도메인 이름에 약간의 차이(이는 이중 확인 시에만 눈에 띌 수 있음)를 사용하여 동일한 웹사이트의 유사 버전을 만드는 것이다. 예를 들어, https://wobble.com의 웹사이트 도메인 이름은 o를 0으로 대체하여 https://w0oble.com으로 변경하는 것이다. 고로, 도메인 이름의 모든 알파벳을 세세히 확인할 것을 추천한다..

3. 잘못된 문법에 주의하기. 가짜 사이트가 급하게 만들어짐으로 철자, 구두점, 대문자 사용 및 문법 오류가 과도하게 나타나는 경우가 많다. 이와 같은 웹사이트를 피해야 한다.

 

● 반드시 공식 채널, Twitter 계정 및 링크에서 활동하기

​

위에서 언급했듯 신뢰할 수 있는 유일한 출처는 공식 웹사이트, 공식 트위터 계정, 공식 디스코드 등 공식적인 매체밖에 없다. 항상 유사 채널이 아닌 공식 채널에서 상호 작용하고 있는지 확인할 것을 추천한다. 이를 확인하는 몇 가지 방법은 다음과 같다.

​

1.계정 활동 확인

2.계정 팔로워 확인

3.계정 내역 확인

4.댓글과 참여 확인

 

● 로그인 자격 증명이나 개인 키를 누구와도 공유하지 말기

​

잘 알려진 암호화 속담에 "당신의 키가 아니면 코인도 당신게 아니다"라는 말이 있듯이 개인 키, 퍼스 또는 복구 시드가 공유되는 순간 해당 특정 계정은 더 이상 사용자의 소유가 아니다. 가장 좋은 방법은 제2자로부터 키를 안전하게 보호하는 것이다.

​

● 구매하기 전에 NFT를 확인하기

​

실사는 생태계에서 살아남기 위해 필수로 가져야 할 덕목이다. NFT 구매 또는 발행을 진행하기 전에 프로젝트에 관련된 팀의 평판, 커뮤니티의 유기적 상호 작용 및 사람들이 프로젝트에 대해 말하는 내용을 확인할 것을 추천한다.

​

● NFT를 발행시 여러 지갑을 사용하기

​

버너(Burner) 지갑은 NFT 발행만을 목적으로 생성된 보조 지갑이다. 해당 지갑은 가스 수수료로 발행하는 데 필요한 정확한 금액으로 생성되고 자금이 조달된다. 발행이 완료되면 발행된 NFT는 NFT를 저장할 목적으로 사용되는 다른 지갑으로 전송된다. 이렇게 하면 주요 지갑이 취약한 스마트 계약 또는 웹사이트에서 직접적으로 활동할시 감수하게 될 위험도를 낮출 수 있다. 버너 지갑으로 사용할 지갑을 여러 개 생성할 수 있으며 취약점을 발견하는 순간 버너 지갑을 즉시 폐기할 것을 추천한다.

​

● 이상한 계정의 링크를 클릭하지 않기

​

해커가 계정과 지갑에 대한 액세스 권한을 얻는 방법 중 하나는 이상한 디스코드 계정을 통해 웹 링크를 보내거나 경품 또는 허용 목록 액세스를 약속하는 이메일을 통해 콜드 메일을 보내는 것이다. 항상 낯선 사람 및 비공식 주소로부터 메시지를 수신하지 못하도록 텔레그램, 디스코드 및 전자 메일을 제한하고, 그룹의 진행자 또는 관계자 역할을 하는 DM을 통해 링크를 보내는 모든 사용자를 보고하고 금지시켜야 한다.

​

● 토큰 승인을 검토하고 사용하지 않은 토큰 승인 취소하기

​

사용자들은 매일 다른 프로토콜과 링크와 상호 작용하면서 스마트 컨트랙트에 대한 정보를 기반으로 액세스 및 권한을 부여한다. 수시로 부여된 접근 및 허가를 검토하고 철회하는 것은 매우 중요하다. 자세한 내용은 https://revoke.cash/에서 확인할 수 있다.

​

● 진행하기 전에 거래 스마트 계약 세부 정보를 읽고 확인하기

​

거래를 확인하기 전에 항상 스마트 컨트랙트의 세부 권한 정보를 읽을 것을 추천한다. 많은 해커가 스마트 컨트랙트에 자신의 행위를 숨기고 지갑에 있는 자금에 대한 권한과 부당한 액세스 권한을 부여하기 때문이다. 주의 깊게 읽고 스마트 컨트랙트 세부 정보가 위협이나 취약점이 아닌지 확인해야 한다.

​

● 뉴스를 통해 암호화 앱의 새로운 취약점 확인하기

​

매일 새로운 해킹이 감지되므로 취약점, 위협 및 해킹에 대한 최신 정보와 뉴스를 확인하는 것이 중요하다.

​

NFT 시장에 대한 관심이 높아짐에 따라 적절한 보안 관행과 팁이 더 중요해졌다. 알았더라면 피할 수 있었는데 하는 후회 대신 적절한 방법을 사용하여 수집가와 투자자로부터 귀중한 작폼과 자금을 훔치기 위해 악의적으로 접근하는 사람들을 항상 조심해야 한다.

​

---

NFTGO : 현존하는 최고의 NFT 애널리틱스

​

▶ NFTGO는 전 디지털 세계의 NFT 관련 데이터를 집계하여 제공하는 NFT 전문 애널리틱스 플랫폼이다.

​

▶ NFT 시장 동향과 잠재적인 블루칩들을 데이터 바탕으로 파악하여 NFT 투자 전략을 수립할 수 있다.

​

▶ 고래들의 움직임에 따라 내부/외부 정보를 파악하고 통찰하여 시장 동향을 이해할 수 있다.

​

​

​

​

NFTGO 웹사이트: nftgo.io

NFTGO 디스코드: https://discord.gg/nftgo

​치코미디어 텔레그램: https://t.me/chiko_media

치코미디어 오픈채팅방: ​https://open.kakao.com/o/gdDtPIWb